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@) Werkwljze en Inrlchting voor het cryptografisch bewerken van data. 

@ Bij hel cryptografisch bewerken van data worden 
deze data (X) en een sleutel (K) aan een crypto- 
grafisch proces (P) loegevoerd, dat een bekend 
proces kan zijn. Teneinde de aard van het proces 
(P) te versluieren worden aan het proces hulp- 
waarden toegevoerd, zoals een aanvullende sleu- 
tel (K*). met behulp waarvan een aanvullend 
proces (P*) de eigenlijke sleutel (K) genereert, De 
combinalie van het oorspronkelijke proces (P) en 
het aanvullende proces (P*) levert een onbekend 
proces op. waarbij de relatie tussen de aanvul- 
lende sleutel (K*) en de bewerkte data (Y) onbe- 
kend is. Hierdoor wordt een betere cryptografische 
beveiliging verkregen. 




o 

CO 



De inhoud van dtl octrooi komt overeen nr^et de oorspronkelijk ingediende beschrijving met conclusie(s) en 
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toegevoerd. In die verband wordt onder een "hulpwaarde" een waarde 
(data of sleutel) verstaan, die in aanvulling op de corresponderende 
data en sleutel aan het proces wordt toegevoerd. 

De uitvinding is derhalve gebaseerd op het inzicht, dat het 
5 herleiden van de in een cryptograf isch proces gebruikte waarden 

aanzienlijk gecompliceerd wordt indien deze waarden door xniddel van 
hulpwaarden zijn gemaskeerd, 

De uitvinding is mede gebaseerd op het verdere inzicht, dat het 
gebruik van hulpwaarden het resultaat van het proces niet 
10 noodzakelijkerwijs beinvloedt. 

In een eerste uitvoeringsvorm van de uitvinding omvat een 
hulpwaarde een aanvullende sleutel die aan een aanvullend proces wordt 
toegevoerd teneinde de sleutel te vormen. 

Door een combinatie van een bekend proces en een aanvullend 
15 proces toe te passen wordt een nieuw, op zich onbekend cryptograf isch 
proces gevormd, zelfs indien het aanvullende proces ook op zich bekend 
is. 

Door de voor het bekende proces gebruikte sleutel (primaire 
sleutel) af te leiden uit een aanvullende sleutel (secundaire sleutel) 

20 met behulp van een aanvullend proces wordt bereikt dat niet de 
(primaire) sleutel van het bekende proces raaar de aanvullende 
(secundaire) sleutel aan de combinatie van processen wordt aangeboden. 
Met andere woorden, extern wordt de aanvullende (secundaire) sleutel 
en niet de werkelijke (primaire) sleutel van het eigenlijke proces 

25 gebruikt. Het af leiden van de sleutel uit de oorspronkelijke data en 
de bewerkte data is daarmee ondoenlijk geworden. Tevens is het 
af leiden van de aanvullende sleutel ernstig bemoeilijkt, omdat de 
combinatie van het oorspronkelijke proces en het aanvullende proces 
niet bekend is. 

30 Deze uitvoeringsvorm van de uitvinding is derhalve onder meer 

gebaseerd op het inzicht, dat het bekend zijn van een cryptograf isch 
proces ongewenst is, dit in tegenstelling tot wat tot dusver werd 
aangenomen. Deze uitvoeringsvorm is tevens gebaseerd op het verdere 
inzicht, dat aanvallen die voortbouwen op kennis van het proces aan- 

35 zienlijk moeilijker worden indien het proces onbekend is. 

Bij voorkeur omvat het aanvullende proces een cryptograf isch 
proces. Dit maakt het herleiden van de aanvullende sleutel moeilijker. 
In princlpe kan echter bijvoorbeeld een eenvoudige coder ing als 
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worden, bij voorkeur onmiddellijk na de laatste trap, de rechter data 
met een verdere prtmaire hulpwaarde en de gemodif iceerde linker data 
met een verdere additionele hulpwaarde gecombineerd. 

Om bet resultaat van de bewerkingen niet door de primaire 
5 hulpwaarden te laten beinvloeden wordt de werkwijze volgens de 

uitvinding bij voorkeur zodanig uitgevoerd. dat de rechter data, in 
elke trap en voorafgaand aan de bewerking. met de primaire hulpwaarde 
van die trap worden gecombineerd. 

Een verdere bescherming wordt bereikt indien de bewerkte rechter 
10 data, volgend op de bewerking. met een secundaire hulpwaarde van die 
trap worden gecombineerd. 

Met voordeel is de secundaire hulpwaarde van een trap gevormd 
uit de combinatie van de primaire hulpwaarde van de voorgaande trap en 
15 de primaire hulpwaarde van de volgende trap. Hierdoor wordt het 

mogelijk de hulpwaarde in de telkens volgende trap te compenseren, 
waardoor deze hulpwaarde niet in het eindresultaat van het proces zal 
doorwerken. 

Het is mogelijk de werkwijze volgens de uitvinding zodanig uit 

20 te voeren, dat alle primaire hulpwaarden gelijk zijn. Hierdoor is een 
zeer eenvoudige praktische realisatie mogelijk. Het gebruik van 
verschillende hulpwaarden, die bij voorkeur toevalsgetallen zijn en 
voor elke keer dat het proces wordt uitgevoerd opnieuw worden 
gegenereerd, biedt echter een grotere cryptograf ische beveiliging. 

25 Een verdere vereenvoudiging van deze ui tvoe rings vorm kan worden 

verkregen indien de primaire hulpwaarden en/of secundaire hulpwaarden 
telkens vooraf met de respectieve bewerking zijn gecombineerd. Dat wil 
zeggen, het combineren met hulpwaarden wordt in de betreffende 
bewerking (bij voorbeeld een substitutie) verwerkt , zodat het resultaat 

30 van de respectieve bewerking gelijk is aan dat van de corspronkelijke 
bewerking plus een of twee combinatiebewerkingen met hulpwaarden. Door 
het vooraf in de bewerking opnemen van de combinatiebewerkingen is een 
eenvoudiger en snellere praktische realisatie mogelijk. 

De genoemde combinatiebewerkingen worden bij voorkeur door 

35 raiddel van een exclusief -of -bewerking uitgevoerd. Andere 

combinatiebewerkingen. zoals binair optellen. zijn in principe echter 
ook mogelijk. 

De uitvinding verschaft verder een schakeling voor het uttvoeren 

Pilbl.1,800 
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sleutel met een voldoende grote lengte (d.w.z.. een voldoend groot 
aantal bits) werd het tot nu toe ondoenlijk geacht deze sleutel te 
herleiden, zelfs indien het proces P bekend was. Ondoenlijk wil in dit 
geval zeggen dat het in theorie weliswaar mogelijk is. bijvoorbeeld 
door het proberen van alle mogelijke sleutels, om de gebruikte sleutel 
te achterhalen, maar dat dit een onbruikbaar lange rekentijd vcrgt. 
Een dergelijke aanval met brute kracht ("brute force attack") is 
daarom nauwelijks een bedrelging voor de cryptograf ische beveiliging. 

Recent ontdekte aanvallen inaken echter gebruik van kennis van 
het proces, waardoor het aantal mogelijke sleutels drastisch kan 
worden gereduceerd. Het herleiden van de gebruikte sleutel K en/of de 
ingangsdata X uit de uitgangsdata Y wordt daardoor binnen aanvaardbare 

rekentijden mogelijk. 

Het principe van de uitvinding, die beoogt dergelijke aanvallen 

15 aanzienlijk raoeilijker en tijdrovender te maken, is in Fig. 2 

schematisch weergegeven. Evenals in Fig. 1 worden aan een (bekend) 
proces P ingangsdata X en een (geheime) sleutel K toegevoerd om 
uitgangsdata Y te genereren. 

In tegenstelling tot de situatie van Fig. 1 wordt in de situatie 

20 van Fig. 2 de sleutel K vanult een aanvullend proces P* aan het proces 
P toegevoerd. Het aanvullende proces P* heeft een aanvullende 
(secundaire) sleutel K* als ingangsdata om, onder invloed van een 
hulpsleutel K- . de (primalre) sleutel K als uitgangsdata te 
produceren. De sleutel K wordt dus niet, zoals in de situatie van Fig. 

25 1, vanuit een externe bron (bijvoorbeeld een geheugen) aan het proces 
P toegevoerd, maar wordt door het proces P* voortgebracht uit de 
aanvullende (secundaire) sleutel K*: 

K - P*R.(K) 

Het is dus de secundaire sleutel K* in plaats van de prlmairc 
30 sleutel K die vooraf is bepaald en die bijvoorbeeld in een 

sleutelgeheugen (niet getoond) wordt opgeslagen. Overeenkomstig de 
uitvinding is de primaire sleutel K die aan het proces P wordt 
toegevoerd niet vooraf bepaald. 

De hulpsleutel K' kan een vast opgeslagen, vooraf bepaalde 
35 sleutel zijn. Het is ook mogelijk een aanvullend proces P* toe te 
passen waarin geen hulpsleutel K' wordt gebruikt. 

De combinatie van de processen P en P* vormt een nieuw proces, 
dat schematisch is aangeduid als Q. Aan het proces Q. dat vanwege het 
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uitgangsdata Y opleveren. Het zal duidelijk zijn dac de 
cryptografische veiligheid hierdoor verder wordt vergroot. 

In Fig. 4 Is schematisch de wljze weergegeven waarop deelstappen 
van de processen P en P* afwlsselend kunnen worden uitgevoerd 
5 ("interleaving") teneinde de bescherming tegen aanvallen verder te 
vergroten. De deelstappen kunnen zogenaamde "rondes" omvatten, zoals 
bljvoorbeeld bij DES het geval is. Bij voorkeur omvatten de deelstap- 
pen echter slechts een of enkele instructies van een programraa, 
waarniee de processen worden uitgevoerd. 

IQ In een eerste stap 101 wordt een eerste deelstap Pj van het 

proces P uitgevoerd. Vervolgens wordt in een tweede stap 102 de eerste 
deelstap P,* van het aanvullende proces P* uitgevoerd. Evenzo wordt in 
een derde stap 103 de tweede deelstap P2 van het proces P uitgevoerd 
enz. Dit gaat door totdat in stap 110 de laatste deelstap P^* van het 

15 aanvullende proces P* is uitgevoerd. waarbij omwille van het voorbeeld 
ervan is uitgegaan dat de processen P en P* evenveel deelstappen 
omvatten. Indien dat niet het geval is, wordt in stap 110 de laatste 
overeenkomstige deelstap uitgevoerd. en worden in verdere stappen de 
resterende deelstappen uitgevoerd. 

20 Door het afwisselen van de deelstappen van het op zich bekende 

proces P en het (mogelijk eveneens op zich bekende) proces P* kan een 
reeks van deelstappen worden verkregen. die niet overeenkomt met die 
van een bekend proces. De aard van het proces is hierdoor moeilijker 
te herkennen. 

25 Het in Fig. 5 schematisch en slechts bij wijze van voorbeeld 

weergegeven cryptografische proces P volgens de stand van de techniek 

onrvat een aantal trappen (d.w.z. Sy, Sj S„) . In elke trap 

worden (rechter) data RD^ toegevoerd aan een cryptografische bewerking 
F^. Deze cryptografische bewerking kan zelf een aantal deelstappen 

30 omvatten. zoals een expansie, een combinatie met een sleutel, een 

substitutie en een permutatie, die echter omwille van de eenvoud van 
de tekening niet afzonderlijk zijn aangegeven. De cryptografische 
bewerking levert bewerkte data FD^: 
FDi - F^(RDi). 

35 In een comblnatiebewerking Cq iCC^. CC^ de index i geeft steeds 

de betreffende trap S aan) worden de bewerkte data FD^ met linker data 
LD^ gecombineerd tot gemodif iceerde (linker) data SD^. die evenals de 
oorspronkelijke rechter data RD worden doorgegeven aan de volgende 



cii^pn 8 00 



NSDOCID: <NL 101 ieOOC2J_> 



10 



rechter data RD^' met een hulpwaarde Pl^ corabineren. Wegens A^^ « - 0 
worden op daze wijze de masker ingen door de hulpwaarden verwijderd. 
Hierdoor is bet mogelijk de werkwijze zodanig uit te voeren, dat 
ondanks het gebruik van de hulpwaarden A^ de einddata Y gelijk zijn aan 
5 die welke met de conventionele werkwijze volgens Fig. 5 zouden zijn 
verkregen. 

Teneinde de invloed van de hulpwaarden op de resultaten FD^ 
van de bewerkingen uit te sluiten, is bij voorkeur in elke trap 
een aanvullende combinatiebewerking AC^ aanwezig die de rechter data 

10 RDj^ combineert met een (primaire) hulpwaarde A^ voordat deze data aan 
de cryptografische bewerking worden toegevoerd. Het resultaat van 
elke aanvullende combinatiebewerking AC^^ is niet-gemaskeerde rechter 
data RDj^, zodat de cryptografische bewerking F^ op dezelfde data werkt 
als in het proces van Fig. 5. 

2^5 Met voordeel kan een verdere combinatiebewerking BC^ tussen de 

cryptografische bewerking en de combinatiebewerking Cq zijn inge- 
voegd met het doel de bewerkte (rechter) data FD^ met een verdere 
(secundaire) hulpwaarde te corabineren. Hierdoor kan een maskering 
van de bewerkte data FD^ en een verdere maskering van de (gemodifi- 

20 ceerde) linker data SD^^' worden bereikt, Bij voorkeur zijn ook de com- 
binatiebewcrkingen AC,^ en BC^^ exclusief -of -bewerkingen. 

Overeenkomstig een verder aspect van de uitvinding zijn de 
hulpwaarden A^ en B^^ gerelateerd. De secundaire hulpwaarden B^ zijn bij 
voorkeur door middel van een exclusief -of -bewerking gevormd uit de 

25 primaire hulpwaarde A^.^ van de vorige trap en de primaire hulpwaarde 
^1+1 ^® volgende trap: 

- A^.j e A^+i- 

Dit heeft tot gevolg, dat elke primaire hulpwaarde A^^j die middels een 
verdere aanvullende combinatiebewerking BC^^ als bestanddeel van de 

30 secundaire hulpwaarde met de bewerkte rechter data FD^ is 

gecombineerd telkens in de volgende trap, d.w.z. in trap S^^^, door een 
combinatiebewerking AC^^ wordt gecompenseerd voordat de betreffende 
rechter data RD^+^ aan de bewerking F^ worden onderworpen. De 
(gemaskeerde) rechter data RD^' die de (gemaskeerde) linker data LDj^+j' 

35 van de weer volgende trap vormen worden daar met de primaire 

hulpwaarde A^^^ gecombineerd en aldus gecompetrseerd. De hulpwaarde A^^i 
werkt door in de gemodif iceerde data SD^* , zodat deze tussen twee trap- 
pen gemaskeerd blijven. 
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in een willekeurige volgorde bepaald. Indien een gecombineerde 
bewerking F^^' bijvoorbeeld acht tabellen omvat, worden deze acht tabel- 
len, iedere keer dat deze bewerking F^' opnieuw wordt uitgevoerd, in 
een andere volgorde bepaald. Deze volgorde kan worden bepaald aan de 
5 hand van de inhoud van een volgorderegister , welke inhoud telkens door 
een toevalsgetal , afkomstig van een toevalsgenerator , kan worden 
gevormd. Op basis van de inhoud van het volgorderegister kan verder 
telkens opnieuw een opzoektabel worden samengesteld. Met de 
opzoektabel kunnen de tabellen in een geheugen worden weggeschreven en 

10 later worden uitgclezen. 

Volgens een verder aspect van de uitvinding kunnen in aanvulling 
hierop of in plaats hiervan de elementen van elke tabel in een 
willekeurige volgorde worden bepaald en/of opgeslagen. Ook met deze 
maatregel wordt bereikt dat de bescherming tegen aanvallen wordt 

15 verbeterd. Ook in dit geval kan een opzoektabel worden toegepast, aan 
de hand waarvan de elementen later kunnen worden opgevraagd. 

De hiervoor genoemde maatregelen kunnen ook worden toegepast in 
andere uitvoeringsvormen van de uitvinding, zoals die van Fig. 8, of 
in geheel andere al dan niet cryptograf ische processen. 

20 De uitvoeringsvorm van Fig. 8 komt grotendeels overeen met die 

van Fig. 7. In aanvulling op Fig. 7 is in elke trap S^, met 
uitzondering van de laatste trap S^, een combinatiebewerking HC^^ 
opgenomen die de rechter data RDj^ met een tertiaire hulpwaarde 
combineert. Bij voorkeur is de tertiaire hulpwaarde W^^ gelijk aan de 

25 exclusief-of - combinatie van de hulpwaarden Aq en : 

W - Aq « Aj, 

waarbij Aq # A^ . 

Dit heeft het resultaat dat de bewerking HC^^ steeds de nulde 
hulpwaarde Aq toevoegt en de eerste hulpwaarde Aj compenseert. Hierdoor 

30 is het mogelijk dat alle cryptograf ische bewerkingen F^^ in wezen 
identiek zijn, hetgeen een veel geringere verwerkings- en/of 
opslagcapaciteit vereist van een processorsysteem waarmee de werkwijze 
wordt uitgevoerd. In de uitvoeringsvorm van Fig. 8 zijn de bewerkingen 
F^" zodanige aanpassingen van de oorspronkelijke bewerkingen F^^, dat 

35 deze gecorrigeerd zijn voor de hulpwaarde Aj en bovendien de tertiaire 
hulpwaarde W - Aq ® A^ met hun resultaat combineren. Met" andere ^oor- 
den, indien RD^ e A| aan F" wordt toegevoerd, is het resultaat gelijk 
aan FD^* - FjCRDj) © W. 

i»t01i 8 00 
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Hoewel in de figuren 2 en 3 steeds een enkel aanvuUend proces 
P* is getoond. kunnen eventueel meerdere processen P*. P**. P***. 
in serie en/of parallel worden gebruikt om de primaire sleutel K af te 
leiden. 

Het zal deskundigen duidelijk zijn dat vele wljziglngen en 
aanvullingen mogelijk zijn zonder buiten het kader van de uitvinding 

te treden. 
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10. Werkwijze volgens conclusie 8 of 9, waarin de rechter data (RD^) , 
in elke trap (S^^) en voorafgaand aan de bewerking (Fj^*), met de 
primaire hulpwaarde (A^) van die trap (S^) worden gecombineerd, 

11. Werkwijze volgens conclusie 10, waarin de bewerkte rechter data 
5 (FD^) , volgend op de bewerking (Fj^) , met een secundaire hulpwaarde (B^) 

van die trap (S^) worden gecombineerd. 

12. Werkwijze volgens conclusie 10 en 11, waarin de secundaire hulp- 
waarde (B^) van een trap (S^^) gevormd is uit de combinatie van de 
primaire hulpwaarde (A^.j) van de voorgaande trap en de primaire 

10 hulpwaarde (Aj^+i) van de volgende trap. 

13. Werkwijze volgens een van de conclusies 8-12, waarin alle 
primaire hulpwaarden (A^^) gelijk zijn. 

14. Werkwijze volgens een van de conclusies 9-13, waarin de primaire 
hulpwaarden (A^^) en/of secundaire hulpwaarden -<B^) telkens vooraf met 

15 de respect ieve bewerking (F^^) zijn gecombineerd. 

15. Werkwijze volgens conclusie 14, waarin een gecombineerde 
bewerking (F^' ) meerdere tabellen bevat, en waarin de tabellen elke 
keer dat het proces (P) wordt uitgevoerd, in een andere volgorde 
worden bepaald, 

20 16. Werkwijze volgens conclusie 14 of 15, waarin een gecombineerde 

bewerking (F^^') meerdere tabellen bevat, en waarin de elementen van de 
tabellen, elke keer dat het proces (P) wordt uitgevoerd, in een andere 
volgorde worden bepaald en/of opgeslagen. 

17. Werkwijze volgens conclusie 16, waarin de volgorde ten behoeve 
25 van het uitlezen van de elementen als opzoektabel wordt opgeslagen. 

18. Werkwijze volgens een van de conclusies 8-17, waarin de rechter 
data (RDj^)t na elke trap (S^) , met een tertiaire hulpwaarde (W^) wordt 
gecombineerd . 

19. Werkwijze volgens conclusie 18, waarin de tertiaire hulpwaarde 
30 (Wjl) in alle trappen behalve de laatste (S„) gelijk is aan de 

combinatie van de primaire hulpwaarde (A^) van de eerste trap (S^) en 
de additionele hulpwaarde (Aq) , en in de laatste trap (S^^) gelijk is 
aan 0, 

20. Werkwijze volgens een van de conclusies 8-19, waarin het 
35 combineren door middel van een exclusief -of -bewerking wordt 

uitgevoerd. 

21. Werkwijze volgens een van de voorgaande conclusies, waarin de 
data (X) identificatiedata van een betaalmiddel (1) omvatten en de 
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VERSLAG VAN HE7 NIEUVi'HEIDSONDERZOEK VAN 
INTERNATIONAAL TYPE 



Nummervan hei verzoek om een ii-t;.iwhri«so«KJttroc: 

NL 1011800 



A. CLASSIFICATIE VAN HET ONDERWERP 

IPC 6 H04L9/06 






Vol9ens de Internnlionafe Classiftcatie van oclrooren (IPC) ot zowet votgens de Rationale classificatre ats volgens de IPC. 




B. ONDERZOCHTE GEBIEDEN VAN DE TECHNIEK 


Onderrochte miminum documentatie (classificalie gevotgd door classiftcatiesymbolen) 

IPC 6 H04L 


Onderzochte andere documentalie dan de mimimum documentatie. voor dergelijke documenten. voor zover dergelijke documenten In de onderzochle 
gebleden z>jn opQenomen 


TIjdens hel internationaal nieuwheidsonderzoek geraadpleegde elektronische gegevensbestanden (naam van de gegevensbestanden en, waar uitvoerbaar. 
gebruikte trefwoorden) 


C. VAN BELANG GEACHTE DOCUMENTEN 


Calegorie ' 


Geciteerde documenten. eventueel met aandutdlng van sp>eciaat van belang zijnde passages 


Van belang voor 
cor^usie nr. 


X 
A 


US 5 745 577 A (LEECH MARCUS D) 
28 April 1998 (1998-04-28) 
samenvatting 

kolom 2, regel 55 - kolom 3, regel 46 
kolom 5, regel 6 - kolom 6, regel 4 
conclusies 1,6,7 
figuren 5,6,8,9 


1.2.8. 

21-23 

3-7.9, 

10,13. 

18,20 


A 


US 5 724 428 A (RIVEST RONALD L) 
3 Maart 1998 (1998-03-03) 
samenvatting 

kolom 5, regel 65 - kolom 6, regel 50 
figuren IB. 2 


1,2.8, 
21.22 






-/- 




1 y 1 Verde re documonlen worden vermefd in hel vervolg van vak C. 


|y j Leden van dezelfde octrooifamilie zijn vermeld in een bipage 


* Speciate categorleen van aangehaatde documenten 

'A' document dat de algemene stand van de techniek weergeeft. 

maar niet beschouwd wordt afs zijnde van bijzonder belang 
'E* eerder document, nnaar gepubliceerd op de datum van 

indiening of daarna 
'I' document dat het beroep op een recht van voorrang aan twijFel 

onderhevig maakt of dat aangehaald wordt om de publikatiedatum 

van een andere aanhaling vast te slelten of om een andere reden 

zoals aangegeven 
*0" docunrwnt del betrekking heeft op een mondelinge utteenzetting. 

een gebrutk. een tentoonslelling of een ander middel 
*P' document oepubliceerd voor de datum van indiening 

maar na oe ingeroepen datum van voorrang 


T' later document, gepubliceerd na de datum van indiening 
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